News
NewsPerşembe günü ABD hükümeti, bilgisayarları ve cep telefonlarını gözetlemek üzere tasarlanmış kötü amaçlı yazılımları satmak için kullanılan bir web sitesini ele geçirdiğini duyurdu.
Kötü amaçlı yazılımın adı NetWire ve yıllardır çeşitli siber güvenlik şirketleri ve en az bir devlet kurumu, bilgisayar korsanlarının kötü amaçlı yazılımı nasıl kullandıklarını detaylandıran raporlar yazdı. NetWire’ın bilgisayar korsanlığı forumlarında da reklamının yapıldığı bildirilirken, kötü amaçlı yazılım sahipleri onu meşru bir uzaktan yönetim aracıymış gibi gösteren bir web sitesinde pazarladılar.
“NetWire, işletmelerin bilgisayar altyapısının bakımıyla bağlantılı çeşitli görevleri tamamlamalarına yardımcı olmak için özel olarak tasarlanmıştır. Tüm uzak bilgisayarlarınızın bir listesini tutabileceğiniz, durumlarını ve envanterlerini izleyebileceğiniz ve bakım amacıyla herhangi birine bağlanabileceğiniz tek bir ‘komuta merkezidir’.”
Kaliforniya Merkez Bölgesi ABD Savcılığı, worldwiredlabs.com adresinde barındırılan web sitesine el konulduğunu duyuran basın açıklamasında, FBI’ın 2020 yılında siteyle ilgili bir soruşturma başlattığını söyledi. Federaller sitenin uluslararası kara para aklama, dolandırıcılık ve bilgisayar suçları işlemek için kullanıldığını iddia ediyor.
ABD Savcılık Ofisi sözcüsü TechCrunch’a web sitesinin ele geçirilmesinde kullanılan arama emrinin bir kopyasını verdi; bu belgede FBI’ın NetWire’ın aslında bir Uzaktan Erişim Truva Atı – ya da RAT – kötü amaçlı yazılım olduğunu ve uzaktaki bilgisayarları yönetmek için meşru bir uygulama olmadığını nasıl tespit ettiği ayrıntılarıyla anlatılıyor.
Arama emrinde, adı açıklanmayan bir FBI Görev Gücü görevlisi tarafından yazılan ve FBI Araştırma Ekibi’nin bir üyesi veya ajanının bir NetWire lisansı satın aldığını, kötü amaçlı yazılımı indirdiğini ve 5 Ekim 2020 ve 12 Ocak 2021 tarihlerinde analiz eden bir FBI-LA bilgisayar bilimcisine verdiğini açıklayan bir yeminli ifade yer alıyor.
Bilgisayar bilimcisi, kötü amaçlı yazılımın yeteneklerini test etmek için bir test bilgisayarında NetWire’ın Builder Tool’unu kullanarak “NetWire RAT’ın özelleştirilmiş bir örneğini” oluşturmuş ve bu örnek ajan tarafından kontrol edilen bir Windows sanal makinesine yüklenmiştir. Bu süreç boyunca NetWire web sitesi “FBI’ın test sırasında saldırdığı test kurbanı makinenin sahibi olduğunu, işlettiğini ya da üzerinde herhangi bir mülkiyet hakkına sahip olduğunu (saldırıların meşru ya da yetkili bir amaç için olması durumunda uygun olacağı üzere) teyit etmesini hiçbir zaman istememiştir.”
Başka bir deyişle, FBI bu deneye dayanarak NetWire sahiplerinin, müşterilerinin sahip oldukları ya da kontrol ettikleri bilgisayarlarda yasal amaçlarla kullanıp kullanmadıklarını kontrol etme zahmetine hiç girmedikleri sonucuna varmıştır.
FBI bilgisayar bilimcisi daha sonra kurdukları sanal makineyi kullanarak NetWire’ın dosyalara uzaktan erişim, Windows Not Defteri gibi uygulamaları görüntüleme ve zorla kapatma, saklanan şifreleri sızdırma, tuş vuruşlarını kaydetme, komut istemi veya kabuk aracılığıyla komutları çalıştırma ve ekran görüntüsü alma gibi tüm işlevlerini test etti.
“FBI-LA [bilgisayar bilimcisi], yukarıda test edilen tüm özelliklerde, virüs bulaşmış bilgisayarın bu eylemlerin gerçekleştiğine dair hiçbir zaman bir bildirim veya uyarı göstermediğini vurguladı. Bu durum, kullanıcı adına belirli bir eylemi gerçekleştirmek için genellikle kullanıcının onayının gerekli olduğu meşru uzaktan erişim araçlarına aykırıdır,” diye yazmıştır Görev Gücü görevlisi yeminli ifadesinde.
Yetkili ayrıca, FBI’ın Ağustos 2021’de ABD merkezli bir NetWire mağdurundan aldığı bir şikayete de atıfta bulundu, ancak mağdurun kimliğini veya mağdur şirketin NetWire’ı yükleyen kötü amaçlı bir e-posta aldığı sonucuna varan üçüncü taraf bir siber güvenlik firmasını işe aldığını söylemek dışında vakanın birçok detayını içermiyordu.
ABD Kaliforniya Merkez Bölge Savcılığı sözcüsü Ciaran McEvoy TechCrunch’a verdiği demeçte, dava ile ilgili arama emri ve ekli beyanname dışında kamuya açık başka bir belgeden haberdar olmadığını, bu nedenle NetWire’ı satmak için kullanılan web sitesini çökertme operasyonu hakkında, sahiplerinin kimliği de dahil olmak üzere, bilgilerin bu noktada sınırlı olduğunu söyledi.
Basın açıklamasında DOJ, Hırvat yetkililerin web sitesini yönettiği iddia edilen yerel bir vatandaşı tutukladığını yazdı, ancak şüphelinin adını vermedi.
Duyurunun ardından siber güvenlik gazetecisi Brian Krebs, worldwiredlabs.com web sitesini Mario Zanko adlı bir kişiye bağlamak için kamuya açık DNS kayıtlarını, WHOIS web sitesi kayıt verilerini, kamuya açık veritabanı sızıntılarında açığa çıkan verileri endeksleyen bir hizmet tarafından sağlanan bilgileri ve hatta bir Google+ profilini kullandığı bir makale yazdı.
1
Prens Harry ‘kraliyet ailesindeki herkesi terapi almaya çağırdı’
2
Facebook ve Google, polise yardımcı olmak için kullanıcı verilerini teslim ediyor
3
WordPress.com’un sahibi Automattic, ActivityPub eklentisini satın aldı
4
Mozilla ‘güvenilir’ yapay zekaya odaklanan yeni bir girişim başlattı
5
Fotoğrafçılık denince ilk akla gelen site DPReview kapanıyor
Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.
